OpenClaw Gateway 设备令牌不匹配问题排查全指南
问题现象
用户在使用 OpenClaw 2026.2.15 版本时,突然遇到以下错误:
�� OpenClaw 2026.2.15 (3fe22ea)
Hot reload for config, cold sweat for deploys.
gateway connect failed: Error: unauthorized: device token mismatch (rotate/reissue device token)
RPC probe: failed
gateway closed (1008): unauthorized: device token mismatch (rotate/reissue device token)
关键信息:
- Gateway 服务正在运行(pid 76036)
- 端口 18789 正常监听
- 但 CLI 无法连接,报错 "device token mismatch"
问题本质
OpenClaw 的认证架构
OpenClaw Gateway 采用 Token-based 认证机制:
┌─────────────┐ Token A ┌─────────────────┐
│ CLI 工具 │ ◄────────────────► │ Gateway 服务 │
│ (~/.openclaw) │ │ (18789 端口) │
└─────────────┘ └─────────────────┘
│ │
│ 设备令牌 (Device Token) │
└──────────────────────────────────┘
设备令牌(Device Token)用于验证 CLI 客户端与 Gateway 之间的身份。当两者持有的令牌不一致时,就会出现 "mismatch" 错误。
令牌不一致的常见原因
场景 | 原因 |
Gateway 重启 | 服务重启后生成新令牌 |
配置变更 | 修改 `openclaw.json` 后令牌重新生成 |
多用户环境 | 不同用户启动的 Gateway 使用不同令牌 |
权限问题 | 令牌文件权限变更导致读取失败 |
版本升级 | 新版本可能改变令牌生成逻辑 |
解决方案
方案一:重启 Gateway(推荐)
最直接的解决方式是重新生成并同步令牌:
# 1. 停止现有 Gateway
openclaw gateway stop
# 2. 确认进程已终止
ps aux | grep openclaw-gateway
# 3. 清理可能的残留
rm -f ~/.openclaw/.gateway-token
# 4. 重新启动
openclaw gateway start
# 5. 验证状态
openclaw gateway status
方案二:手动重新签发令牌
如果不想重启服务,可以手动触发令牌轮换:
# 查看当前令牌状态
openclaw gateway token status
# 强制重新签发
curl -X POST http://127.0.0.1:18789/api/v1/token/rotate \
-H "Authorization: Bearer $(cat ~/.openclaw/.gateway-token)"
# 或者使用 CLI
openclaw gateway token rotate --reissue
方案三:排查配置冲突
检查是否存在多个配置文件:
# 查找所有可能的配置文件位置
find ~ -name "openclaw.json" 2>/dev/null
# 常见位置:
# ~/.openclaw/openclaw.json (用户配置)
# ~/.config/openclaw/openclaw.json (XDG 配置)
# /etc/openclaw/openclaw.json (系统配置)
# 检查环境变量
env | grep OPENCLAW
方案四:Systemd 服务特殊处理
如果使用 systemd 管理 Gateway,需要注意:
# 检查服务配置
cat ~/.config/systemd/user/openclaw-gateway.service
# 确认环境变量
systemctl --user show openclaw-gateway --property=Environment
# 重启服务
systemctl --user restart openclaw-gateway
# 查看详细日志
journalctl --user -u openclaw-gateway -f
深入理解:Token 机制
Token 存储位置
# 默认位置
~/.openclaw/.gateway-token
# 内容示例(JWT 格式)
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Token 验证流程
CLI 发起连接
│
▼
┌──────────────────┐
│ 1. 读取本地 Token │
│ (~/.openclaw/...)│
└────────┬─────────┘
│
▼
┌──────────────────┐
│ 2. WebSocket 握手 │
│ 携带 Token │
└────────┬─────────┘
│
▼
┌──────────────────┐
│ 3. Gateway 验证 │
│ 对比内存中的 Token│
└────────┬─────────┘
│
┌────┴────┐
▼ ▼
匹配 不匹配
│ │
▼ ▼
连接成功 返回 1008
要求重新签发
为什么会 "突然" 出现?
根据代码分析,以下操作可能触发 Token 变更:
- **Gateway 异常退出后自动重启** - 生成新 Token
- **配置文件被外部工具修改** - 触发重新加载
- **系统时间变更** - JWT 时间验证失败
- **并发启动多个实例** - 后启动的覆盖先启动的
预防措施
1. 配置 Systemd 自动重启策略
# ~/.config/systemd/user/openclaw-gateway.service
[Service]
Type=simple
ExecStart=/usr/bin/node /home/ubuntu/.npm-global/lib/node_modules/openclaw/dist/index.js gateway --port 18789
Restart=on-failure
RestartSec=5
# 确保只有一个实例
ExecStartPre=/bin/sh -c 'pgrep -f "openclaw-gateway" && exit 1 || exit 0'
2. 使用固定 Token(开发环境)
// ~/.openclaw/openclaw.json
{
"gateway": {
"port": 18789,
"auth": {
"mode": "static",
"token": "dev-token-for-local-only"
}
}
}
⚠️ 警告:仅用于本地开发,生产环境请使用动态 Token!
3. 监控和告警
# 添加健康检查脚本
#!/bin/bash
# ~/bin/openclaw-health-check.sh
if ! openclaw gateway status | grep -q "running"; then
echo "$(date): Gateway 异常,尝试重启..." >> ~/.openclaw/health.log
openclaw gateway restart
fi
# 添加到 crontab(每5分钟检查)
*/5 * * * * /home/ubuntu/bin/openclaw-health-check.sh
调试技巧
启用详细日志
# 设置日志级别
export OPENCLAW_LOG_LEVEL=debug
# 重新启动并查看日志
openclaw gateway stop
openclaw gateway start 2>&1 | tee /tmp/openclaw-debug.log
手动验证 Token
# 解码 JWT(需要 jq)
cat ~/.openclaw/.gateway-token | cut -d'.' -f2 | base64 -d 2>/dev/null | jq .
# 示例输出:
# {
# "sub": "openclaw-cli",
# "iat": 1708195200,
# "exp": 1708789999,
# "jti": "unique-device-id"
# }
总结
错误场景 | 快速解决 |
突然出现 mismatch | `openclaw gateway restart` |
使用 systemd | `systemctl --user restart openclaw-gateway` |
多用户环境 | 确保使用同一用户运行 CLI 和 Gateway |
频繁出现 | 检查是否有其他进程在重启 Gateway |
核心要点:
- Token 是 Gateway 与 CLI 之间的信任凭证
- 重启是最简单有效的解决方案
- 生产环境建议配置监控和自动恢复
